Security By Hank

SQL Injection 防禦基礎

永遠不要信任使用者輸入

在 PHP 或 Python 中操作資料庫時,絕對禁止使用字串串接 SQL 指令。

// 危險!
$sql = "SELECT * FROM users WHERE name = '" . $name . "'";

務必使用 Prepared Statements (參數化查詢),讓資料庫引擎將參數視為純資料而非指令。

← 返回所有文章